中心議題：

• 無線傳感器網絡的安全威脅
• 入侵檢測系統分析

解決方案：

• 分布式異常檢測架構入侵檢測方案
• 本地檢測代理結構入侵檢測方案
• 無線傳感器網絡入侵檢測系統方案

無線傳感器網絡與傳統網絡存在較大差異，傳統入侵檢測技術不能有效地應用于無線傳感器網絡。文中分析了無線傳感器網絡面臨的安全威脅；總結了現有的無線傳感器網絡入侵檢測方案；在綜合現有無線傳感器網絡入侵檢測方法的基礎上，提出了一種分等級的入侵檢測系統，該入侵檢測體系結構通過減少錯報能檢測到大多數的安全威脅。　　

隨著傳感器技術、嵌入式計算技術、分布式信息處理技術和通信技術的迅速發展，無線傳感器網絡應運而生，且發展迅速。其可應用于軍事、環境監測、醫療保健、家居、商業、工業等眾多領域，應用前景廣闊。由于無線傳感器網絡多配置在惡劣環境中，加之本身固有的脆弱性，使得無線傳感器網絡的安全問題引起人們的關注。　　

1 無線傳感器網絡的安全威脅　　

無線傳感器網絡（WSN）易受各種安全威脅，許多文獻勻有描述。文獻將WSN的攻擊按照不同層次分類，如表1所示。
 

表1 無線傳感器網絡的攻擊手段表　　

 

目前許多文獻提出了用于Ad hoc網絡的入侵檢測技術，但它們并不適用于無線傳感器網絡，因為無線傳感器網絡的節點資源有限。針對WSN的入侵檢測方法研究如下：　　

ONat等人提出的分布式異常檢測架構入侵檢測方案。STrikos提出本地檢測代理（Local Detection Agent）結構入侵檢測方案。Yu等人提出了一種基于檢測點的多跳確認方案，檢測選擇轉發攻擊所導致的異常丟包。Ngai等人提出一種3層的入侵檢測結構方案。Raiasegarar等人提出了一種基于數據挖掘的分布式異常檢測方案，該方案采用基站、父節點、子節點3層架構。Su等人提出了一種分簇式的能量節省入侵檢測方案。Loo等人提出了一種基于聚類的入侵檢測算法，可用于檢測路由異常。Zeng等人提出了基于免疫機理的入侵檢測算法。Doumit等人提出了基于自組織臨界程度（Self-organized Criticality,SOC）和隱馬爾可夫模型（Hidden Markov Model,HMM）的入侵檢測算法，屬于異常檢測。Agah等人將博弈論中的非合作模型引入到無線傳感器網絡的入侵檢測問題中，并提出了一種新的解決方案。V.Bhuse和A.Gupta在文獻中描述了一個基于異常檢測的入侵檢測系統，該系統在多層檢測體系中更健壯。在他們的方法中，都試圖在物理層、鏈路層、網絡層和應用層檢測入侵行為。Da Silva等人提出了一個人侵檢測算法，并將其分割成3個階段。第一階段是數據獲取階段，監控節點處于混雜模式進行監聽，并利用傳感器節點的內存存儲所需信息。該作者定義了一系列的規則，這些規則應用到第二階段中存儲的數據。如果消息不滿足這些規則，則增加一個失敗的計數。最后，在第三階段中，將失敗的計數與閾值進行對比，如果失敗數大于閾值，則產生一個告警。Li,He和Fu提出了一個基于組的異常檢測入侵檢測系統。其使用Deha分組算法，將網絡分割成幾組，然后在每個組上運行他們的檢測算法。　　

但這些方法都有其各自的優點與不足。文中重點研究了文獻的方法，并加以改進，提出了方案。　　

2 入侵檢測系統　　

文中提出了一個分等級的入侵檢測系統，體系結構共他4層，運用的是基于規則的檢測技術。　　
[page]
2.1 網絡體系結構　　

該網絡體系結構有4層。最底層由所有的末端傳感器組成，這些末端傳感器從周圍環境中收集數據。第二層和第三層由監控節點組成，第二層傳感器監控末端傳感器的通信模式；第三層傳感器監控第二層傳感器的行為。第三層傳感器布置時要求：每個第三層傳感器能夠監控2個第二層傳感器間的通信。最后，頂層傳感器就是基站，通常人工操作。　　

圖1為傳感器節點在網絡中的組織結構。該方法需要一個異類網絡：第二層和第三層傳感器節點，在傳輸范圍和電池壽命方面要比末端傳感器更強。
 

圖1 傳感器節點在網絡中的組織結構　　

在網絡中，所有的末端傳感器被分成若干個組。用Delta分組算法進行網絡分區。每個組都用一個第二層傳感器監控。第二層和第三層傳感器來執行IDS解決方案。每個末端傳感器將數據發送到第二層傳感器，其聚集所有的數據并發送給第三層傳感器，第三層傳感器監控第二層傳感器的行為。每個第三層傳感器必需被放置在2個第二層傳感器的通信范圍內，這樣即可監視2個第二層傳感器間的通信。如果第二層傳感器檢測到了異常，它會發出一個報警并且發送給第三層傳感器，第三層傳感器調查和分析這些報警并判斷其是否有效，然后一個聚集眾多數據的報警被發送至基站。　　

2.2 入侵檢測技術　　

修改了Da Silva等人提出的入侵檢測算法，并將它運用在第二和第三層傳感器上。由于傳感器資源有限，沒有在任何末端傳感器上運用IDS.監控節點的功能被分成三個階段。第一階段：所有的末端傳感器從它們周圍環境收集數據，然后報告給第二層傳感器。第二階段：用基于分層的攻擊檢測方法來檢測文獻提出的攻擊類型。表2描述了攻擊在各層中如何被發現的。這種基于分層的攻擊檢測方法使得系統更完善。第三階段：比較每個上報的結果來定義閾值，以此來決定是否要發出一個報警。第三階段常常可以減少錯報率。閾值可以人工定義或者根據特定的WSN需求來調整。因此，提出的入侵檢測體系結構通過減少錯報能夠檢測到大多數的安全威脅。
 

表2 基于分層的攻擊檢測

 

3 結束語　　

介紹了無線傳感器網絡當前面臨的威脅，以及現有無線傳感器網絡入侵檢測方案，提出了一種分等級的入侵檢測系統，該體系結構通過減少錯報，能夠檢測到大多數的安全威脅。